100.000’den fazla WordPress web sitesi, 10 Nisan 2025’te popüler Suretggers eklentisinde (sürüm 1.0.78 ve daha düşük) bir kusurun açıklanmasının ardından kritik bir güvenlik açığı ile maruz kalmıştır.
Güvenlik açığı yayınlandıktan sadece dört saat içinde sömürü girişimleri gözlemlendi – siber suçluların hareket ettiği hızın kesin bir hatırlatıcısı.
Güvenlik Açığı Genel Bakış
PatchTack raporuna göre, WordPress’teki iş akışlarını otomatikleştirmek için yaygın olarak kullanılan Sureftergers eklentisinin, dinlenme API uç noktasında ciddi bir kusur barındırdığı bulundu.
.png
)
Güvenlik açığı, HTTP isteklerini işlerken yetersiz yetkilendirme kontrollerinden kaynaklanır. Özellikle, eklentinin kodu, ST-yazım HTTP başlığının doğru doğrulanmasını zorunlu kılmaz.
Geçersiz veya eksik bir başlık gönderilirse ve sitede yapılandırılmış bir dahili gizli anahtar yoksa (null bir değerle sonuçlanan), koddaki kusurlu mantık, null == null karşılaştırması nedeniyle yetkilendirme kontrolünü geçirir.
Bu, kimlik doğrulanmamış saldırganların güvenlik kontrollerini tamamen atlamasını sağlar.
Örnek İstismar Kodu:
{
"user_email": "test@test.cc",
"user_name": "test123123",
"password": "TESTtest123!@#",
"first_name": "tes",
"last_name": "est",
"role": "administrator"
}Saldırganlar, REST API yolları aracılığıyla yukarıdakiler gibi istekleri gönderebilir:
- /? rest_route =/wp-json/emin tüzbeler/v1/otomasyon/eylem
- /WP-JSON/Sure Trejers/V1/Otomasyon/Eylem
İşlendikten sonra, bu genellikle randomize kullanıcı adları, şifreler ve e -posta adresleri olan yeni bir yönetici hesabı oluşturur.
Vahşi doğada aktif sömürü
Açıklamadan sonraki birkaç saat içinde araştırmacılar otomatik sömürü girişimleri gözlemlediler.
İlk kötü amaçlı etkinlik, PatchTack’in sorun için bir VPatch eklemesinden sadece dört saat sonra tespit edildi – hızlı güncellemeler ihtiyacını karşıladı.
Bilinen saldırgan IP adresleri şunları içerir:
- 2A01: E5C0: 3167 :: 2 (IPv6)
- 2602: FFC8: 2: 105: 216: 3CFF: Fe96: 129f (IPv6)
- 89.169.15.201 (IPv4)
- 107.173.63.224 (IPv4)
Tipik saldırgan yükleri rolü “yönetici” olarak ayarlar ve jenerik veya randomize kimlik bilgilerini kullanır, bu da otomatik komut dosyalarının ölçeklendirildiğini gösterir.
Uzmanlar, Seratörlükçü çalışan tüm WordPress kullanıcılarını en son eklenti sürümüne hemen güncellemeye çağırıyor.
Site sahipleri ayrıca şüpheli yeni hesap oluşturma, yetkisiz eklenti veya tema kurulumları ve beklenmedik içerik değişiklikleri için günlükleri gözden geçirmelidir.
Güvenlik analistleri şunları vurguluyor: “Bu olay, saldırganların yeni güvenlik açıklarını ne kadar hızlı silahlandırabileceğini gösteriyor. Dijital varlıklarınızı savunmak için anında yama ve proaktif izleme şart.”
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!